Les routeurs domestiques ont des interfaces différentes, d'une part, nous avons l'interface LAN et WLAN, où nous connectons tous les équipements sur le réseau local domestique, soit par câble ou via Wi-Fi respectivement. Nous avons également l'interface WAN, qui est le port Internet, et qui est associée à l'adresse IP publique. Un bon moyen de rester "caché" sur Internet est de bloquer tout type de requête ICMP et de ne pas y répondre, de cette façon, si quelqu'un fait le "ping" typique à notre IP, il ne répondra pas, et il devra faire un Analyse des ports pour savoir si l'hôte (notre routeur) est actif.
Normalement pare-feu les systèmes d'exploitation orientés, comme pfSense ou OPNSense, sont livrés avec tout le trafic bloqué par défaut, cela signifie que si quelqu'un essaie d'envoyer un ping depuis l'extérieur de notre IP publique, il abandonnera automatiquement le paquet. Il existe des routeurs domestiques et opérateurs qui nous permettent de configurer votre pare-feu, et nous avons même une option spécifique pour bloquer le ping sur le WAN Internet.
Nous devons nous rappeler qu'il n'est pas recommandé de bloquer tous les ICMP, mais seulement ceux qui correspondent au «ping», c'est-à-dire la requête d'écho ICMP (requête) et la réponse d'écho ICMP (réponse). Certains types d'ICMP sont essentiels au bon fonctionnement du réseau, en particulier si vous travaillez avec des réseaux IPv6.
Que se passe-t-il si nous bloquons le ping sur le WAN Internet?
Tout continuera à fonctionner comme toujours, la seule différence est que si quelqu'un de l'extérieur (d'Internet) nous «envoie un ping» sur notre adresse IP publique, le routeur ne répondra pas. Selon la façon dont nous avons configuré le routeur, il est possible que même avec une analyse de port, il ne puisse pas être détecté si l'hôte (le routeur) est actif ou non. Si nous n'avons aucun service en cours d'exécution sur le routeur faisant face au WAN, et que nous n'avons aucun port ouvert sur le routeur, par défaut tous les ports seront fermés et de l'extérieur ils ne pourront pas communiquer avec nous, dans ce chemin, on pourrait passer «inaperçu», c'est ce qu'on appelle la sécurité par l'obscurité.
Bien que nous ayons désactivé le ping sur le WAN Internet, nous pourrons envoyer un ping aux hôtes Internet sans aucun problème, sans avoir à ouvrir de ports ou à faire absolument quoi que ce soit, car la seule chose que nous faisons avec cela est de bloquer le pare-feu du routeur. Demande d'écho ICMP qui nous parvient. Les routeurs utilisent normalement Linux système d'exploitation à l'intérieur pour fonctionner et utiliser iptables, la règle qu'ils incorporent est la suivante:
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
Cette règle bloque tout ICMP de type demande d'écho qui va directement au routeur lui-même, le -j DROP indique qu'il éliminera directement ledit paquet sans «dire» quoi que ce soit auquel il a été envoyé, c'est-à-dire que nous rejetons le paquet.
Un aspect très important est que nous devrions toujours bloquer le ping sur le WAN, mais pas sur le LAN, car si nous bloquons le ping sur le LAN, nous ne serons pas en mesure d'envoyer un ping sur la passerelle par défaut de notre ordinateur (qui est le routeur), pour détecter toute défaillance possible.
Bien que de nombreux modèles et marques de routeurs prennent en charge le blocage du ping sur le WAN Internet, aujourd'hui, dans cet article, nous allons vous donner deux exemples de la façon de bloquer le ping sur le WAN sur ASUS routeurs et aussi sur n'importe quel routeur du fabricant AVM FRITZ! Boîte .
Bloquer le ping (ICMP Echo-request) sur les routeurs ASUS
Sur les routeurs ASUS, à la fois dans le firmware du fabricant et dans Asuswrt-Merlin, le processus est exactement le même. Il faut aller dans le menu de configuration du firmware, dans le " Pare-feu / Général »Et configurez le pare-feu comme suit:
- Voulez-vous activer le pare-feu: Oui
- Voulez-vous activer la protection DoS: Oui
- Type de colis enregistré: Aucun. Si nous voulons déboguer tous les paquets qui passent à travers le pare-feu, nous pouvons le faire, mais il n'est pas recommandé de toujours l'activer car cela consommera les ressources du routeur.
- Voulez-vous répondre à la demande de ping du WAN: Non.
Comme vous l'avez vu, il est vraiment facile de désactiver le ping du WAN Internet. En ce qui concerne la configuration IPv6, tout trafic entrant est bloqué sur le routeur ASUS, vous devez donc l'autoriser explicitement dans le menu de configuration.
Bloquer le ping (ICMP Echo-request) sur AVM FRITZ! Routeurs Box
Dans les routeurs du fabricant allemand AVM, nous pouvons également bloquer le ping typique sur Internet WAN, pour ce faire, nous devons aller dans le menu principal du routeur. Dans la partie supérieure droite où apparaissent les trois points verticaux, cliquez sur " Mode avancé »Pour avoir toutes les options de configuration.
Une fois cela fait, nous allons à « Internet / Filtres / Listes «, Et nous descendons jusqu'à ce que nous trouvions l'option« Pare-feu en mode furtif «. Nous l'activons et cliquons sur appliquer les modifications.
Cette option vous permet de rejeter toutes les demandes d'Internet comme nous l'avons expliqué, et c'est au pouvoir de chacun de le faire.
Grâce à ce bloc de ping sur le WAN Internet, afin de localiser notre hôte (routeur) sur Internet, ils doivent effectuer une analyse de port pour voir si nous avons un service en cours d'exécution, soit sur le routeur ou sur un serveur NAS de notre réseau local.